01 กรกฏาคม 2567 | ศุภกร สืบสุข
พบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่สำคัญที่ส่งผลกระทบต่อเราเตอร์ D-Link DIR-859 ทุกรุ่น สามารถโดนขโมยข้อมูลบัญชีผู้ใช้และรหัสผ่านจากอุปกรณ์ ภายใต้รหัส CVE-2024-0769 (9.8) ซึ่งเป็นช่องโหว่โดยใช้เทคนิค Path Traversal ที่นำไปสู่การเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต ถึงแม้เราเตอร์รุ่น D-Link DIR-859 จะเข้าสู่สถานะสิ้นสุดการให้บริการ (End-of-Life) และไม่ได้รับการอัพเดทอะไรเพิ่มเติมแล้ว แต่ทางผู้ผลิตก็ได้ปล่อยประกาศเกี่ยวกับความเสี่ยงในไฟล์ “fatlady.php” ของอุปกรณ์ ที่มีผลกระทบต่อเวอร์ชันซอฟต์แวร์ทั้งหมดของเราเตอร์รุ่นดังกล่าว ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลของเซสชัน (session data) และสามารถยกระดับสิทธิ (privilege escalation) ทำให้ผู้โจมตีได้รับสิทธิระดับผู้ดูแลระบบ ผู้ใช้งานเราเตอร์รุ่นดัวกล่าวมีความเสี่ยงจากการถูกโจมตีอย่างมาก โดยเฉพาะเมื่อ D-Link ไม่ทำการปล่อยแพทต์แก้ไขช่องโหว่ CVE-2024-0769 ของเราเตอร์รุ่นดังกล่าว
ผู้ใช้งานที่ใช้เราเตอร์รุ่น DIR-859 ควรพิจารณาที่จะเปลี่ยนอุปกรณ์เป็นอุปกรณ์ที่ได้รับการสนับสนุนและได้รับอัพเดตด้านความปลอดภัยอย่างต่อเนื่อง
ผู้โจมตีจะทำการโจมตีโดยการส่งคำขอ POST ที่เป็นอันตรายไปยัง /hedwig.cgi เพื่อทำการเจาะช่องโหว่ CVE-2024-0769 เข้าถึงพาทที่เก็บไฟล์ที่ใช้ในการกำหนดค่า getcfg ผ่านทางไฟล์ fatlady.php ซึ่งโจมตีจะพยายามเข้าถึงไฟล์ DEVICE.ACCOUNT.xml ที่อยู่ในพาท getcfg เป้าหมายเน้นไปที่รหัสผ่านของผู้ใช้แสดงให้เห็นว่ามีความตั้งใจในการจะยึดครองอุปกรณ์ ซึ่งจะทำให้ผู้โจมตีได้รับสิทธิในการควบคุมทั้งหมดภายในอุปกรณ์นั้นๆ และพบเพิมเติมอีกว่าการโจมตีในลักษณะนี้ที่พบมาไม่ได้มีการกำหนดเป้าหมายไปที่ไฟล์ DEVICE.ACCOUNT.xml อย่างเดียว ปัจจุบันยังพบไปที่ DHCPS6.BRIDGE-1.xml ด้วยเช่นกัน
Hackers exploit critical D-Link DIR-859 router flaw to steal passwords | Bleepingcomputer
CVE-reported CVE-2024-0769 | github
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา